CTT Maxwell

Disciplina de Introduo Informtica - Prof. Marcelo OLiveira

Vrus
Caractersticas
Fonte: http://www.superdicas.com.br/va/

Tabela dos Tipos de Vrus Mais Freqentes

Tipo de Vrus

Vrus de Boot

Mtodo de Infeco

A partir de um boot feito com

um disquete contaminado,
que tenha sido deixado no
drive A:

Vrus Mais Conhecidos

Como se Evitar tal Vrus

AntiCMOS
AntiEXE
Form.A
Leandro & Kelly
NYB (New York Boot)
Ripper
Satria.A
Stealth_C
Stoned
Michelangelo

Use um anti-vrus com um detector de

ao de vrus;
No deixe disquetes no drive A:;
Altere o SETUP para o micro dar boot na
seqncia C:, A:.

Rode o antivrus sempre que receber um

novo programa;
Vrus de
Programa

Ao rodar um programa, do
disco rgido ou de disquete,
que esteja contaminado.

Ao executar uma macro num

Processador de Texto (do tipo
Word, o mais comum dos
Vrus de Macro
aplicativos atacado) ou
mesmo apenas abrir um
documento que possua uma
macro do tipo "Auto-Open".

Vrus
Multipartite

A partir de um boot feito com

um disquete contaminado no
drive A:,
ou ao rodar um programa
que esteja contaminado.

Alevirus.1613
Athens (Atenas)
FroDo.4096
Junkie
Jerusalem
Joshi
Market.1533

MDMA.C
Bad Boy
Concept
Hare.7610
Helper
Pathogen
Wazzu

One Half
Junkie
Natas
Parity Boot
VCL

Use um antivrus com um detector de

ao de vrus;
Nunca rode um programa compactado,
sem antes checar a presena de vrus
dentro do arquivo compactado.
Rode o antivrus sempre que receber um
novo documento (principalmente se for do
tipo Word);
Use um anti-vrus com um detector,
residente na memria, de ao de vrus;
Sempre cheque TODOS OS ARQUIVOS de
qualquer disquete recebido (ou E-mail ou
Download pela Internet).

Faa como apontado nas opes Vrus de

Boot e Vrus de Programa, j que este tipo
de vrus ataca de qualquer uma dessas
duas maneiras.

Tipos de Vrus e Suas Caractersticas Principais

Vrus de BOOT (Vrus de Setor de Boot):
Vrus de Boot so o tipo de vrus mais comum entre todos os vrus existentes no mundo. Tudo que preciso para se
infectar com este tipo simplesmente esquecer um disquete contaminado dentro do drive A:. Esse disquete no
precisa ser do tipo que d boot, na verdade quando voc ver a mensagem que o disco est sem sistema j tarde
demais, seu micro j est contaminado.
Para contrabalanar, os vrus de Boot so os mais fceis de detectar, e eliminar.
Vrus de Programa:
Vrus de Programa existem aos milhares, e infectam - normalmente - os arquivos com extenso .EXE e .COM. Alguns
contaminam arquivos com outras extenses, tais como .OVL e .DLL, que na verdade so executveis, mas de um tipo
um pouco diferente.
Os mais bem escritos dentre os vrus de Programa se replicam, contaminando outros arquivos, de maneira silenciosa,
sem jamais interferir com a execuo dos programas que esto contaminados. Assim os usurios no vm nenhum
sinal exterior do que est acontecendo em seu micro.
Alguns dos vrus de Programa vo se reproduzindo at que uma determinada data, ou conjunto de fatores, seja
alcanado. A comea o que importa: eles destroem algo em seu micro.
Muito embora os vrus de Programa no sejam muito difceis de se pegar, os danos que esses tipos de vrus causam
so, muitas vezes, de impossvel recuperao, j que pedaos inteiros dos programas acabam corrompidos pelos vrus.
Assim sendo em geral a nica alternativa de reinstalar os aplicativos contaminados desde os discos originais, e
reconfigur-los novamente.
Vrus Multipartite:
Os vrus deste tipo so, na verdade, uma mistura dos tipos de Boot e de Programas. Eles infectam ambos: arquivos de
programas e setores de boot, o que os tornam muito mais eficazes na tarefa de se espalhar, contaminando outros
arquivos e/ou discos, mas tambm mais difceis de serem detectados e removidos.
Devido imensa disputa entre os que escrevem os vrus, e as empresas que vivem de ganhar dinheiro, muito
dinheiro, caas de suas obras, cada vez mais tm aparecido vrus que tentam ficar cada vez mais camuflados, de tal
sorte a poderem passar despercebidos para os produtos anti-vrus. Assim apareceram os vrus denominados vrus
polimrficos, cuja principal caracterstica de estarem sempre em mutao.
Essa permanente mutao tem como objetivo alterar o cdigo do prprio vrus, dificultando sobremaneira a ao dos
anti-vrus, que em geral caam os vrus atravs de uma assinatura digital, que sabem ser parte integrante de um dado
vrus. Nesses casos, como o cdigo do vrus se altera a cada infeco, dificilmente os programas anti-vrus menos
atualizados reconhecero as novas formas dos velhos vrus.
Vrus Stealth (Vrus Invisveis):
Mais uma variao sobre o mesmo tema, desta vez os vrus que trazem a caracterstica de "stealth" tem a capacidade
de, entre outras coisas, temporariamente se auto remover da memria, para escapar da ao dos programas antivrus.
Note bem: os vrus do tipo polimrfico ou do tipo stealth so, na verdade, espcimes que se enquadram num dos
tipos acima descritos, sendo estes adjetivos utilizados para descrever capacidades adicionadas aos mesmos, para que
sejam os mais discretos possveis, impedindo tanto quanto possvel a sua deteco pelos programas anti-vrus.
Leia mais sobre vrus polimrficos neste artigo
Bom, como podemos observar lendo todos os detalhes acima citados, todos os vrus eram programas que se alojavam
em outros programas, de tal sorte que podamos garantir no haver possibilidade de um vrus ser achado a no ser
dentro de um programa executvel.
uma pena, mas desde meados de 1995 isto no mais to simples assim. Naquele ano surgiu o vrus Concept, que
finalmente deu salto quntico na tecnologia de construo de vrus, j que agora o vrus se tornou um conjunto de
macros (comandos de programao interna) que so executadas de dentro de documentos do programa Word,
atravs da macro AutoOpen, que uma macro que sempre se auto-executa a cada abertura do documento (pelo
programa Word).
Embora tal vrus no seja destrutivo, a ele se seguiram outros, que passaram a ser chamados de Vrus de Macro, e
que podem causar grandes estragos aos documentos e a outros arquivos do disco.
Para completar, em 1996 surgiu o primeiro, e ainda parece que o nico, vrus que se aloja em planilhas do Excel, o
Vrus Laroux, embora no tenha conhecimento de ataques deste vrus no Brasil.

Como Agem os Anti-Vrus

Veja tambm quais so os principais produtos anti-vrus
Os programas anti-vrus agem, principalmente, lanando mo de 4 formas diferentes, para conseguir detectar o
mximo de vrus possvel. Abaixo resumimos - de forma bem resumida - esses mtodos.

Escaneamento de vrus conhecidos

Este o mtodo mais antigo, e ainda hoje um dos principais mtodos utilizados por todos os
programas anti-vrus do mercado.
Envolve o escaneamento em busca de vrus j conhecidos, isto aqueles vrus que j so conhecidos
das empresas de anti-vrus.
Uma vez que as empresas recebem uma amostra de um vrus eles o desassemblam para que seja
separada uma string (um grupo de caracteres seqenciais) dentro do cdigo viral que s seja
encontrada nesse vrus, e em nenhum programa normal venda no mundo. Essa string, uma
espcie de impresso digital do vrus, passa a ser distribuda semanalmente pelos fabricantes, dentro
de suas vacinas.
O "engine" do anti-vrus usa esse verdadeiro banco-de-dados de strings para ler cada arquivo do
disco, um a um, do mesmo modo que o sistema operacional l cada arquivo para carreg-lo na
memria e/ou execut-lo. Se ele encontrar alguma das strings, identificadoras de vrus, o anti-vrus
envia um alerta para o usurio, informando da existncia do vrus.
Esse mtodo no pode, entretanto, ser o nico que o anti-vrus deva utilizar. Confiar apenas no
conhecimento de vrus passados, pode ser pouco, deixando o usurio totalmente descoberto
quanto a novos vrus. Assim os fabricantes de anti-vrus passaram a utilizar de mtodos adicionais,
que permitissem detectar vrus novos, onde o escaneamento citado neste tpico no est ainda
disponvel.

Sensoreamento Heurstico
Os programas anti-vrus agora lanam mo do sensoreamento heurstico, isto , a anlise do cdigo
de cada programa que esteja sendo executado em memria (lembrete: todos os programas so
executados em memria RAM!), ou quando um escaneamento sob demanda for solicitado pelo
usurio. O "engine" varre os programas em busca de cdigos assembler que indicam uma instruo
que no deva ser executada por programas normais, mas que um vrus pode executar.
Um exemplo seria a descoberta de uma instruo dentro de um arquivo que faa uma chamada para
a gravao dentro de um arquivo executvel.
Este um processo muito complexo, e sujeito a erros, pois algumas vezes um executvel precisa
gravar sobre ele mesmo, ou sobre outro arquivo, dentro de um processo de reconfigurao, por
exemplo. O prprio programa anti-vrus deve pesar muito bem o risco/autenticidade desse tipo de
instruo, antes de soar o alarme. Alm disso, ou por culpa disso, o usurio deve compreender que
em algumas situaes poder receber falsos alarmes - o que no jargo do mercado chamado de
FALSO POSITIVO (um aviso de vrus dado, mas ele na verdade falso - isto : no verdadeiro).
Os anti-vrus devem monitorar constantemente as operaes que so executadas a cada instante no
computador, visualizando acessos a arquivos e sinais de atividades suspeitas, tal como um arquivo
tentando se auto-copiar em outros arquivos.
Embora sujeitas a erros, como alis ns ficamos quando vemos uma pessoa desconhecida se
aproximar de uma criana. Como avaliar com certeza se essa pessoa tem ou no boas intenes
nesse acesso criana?

Busca Algortmica
Alguns programas anti-vrus usam uma ttica diferente das anteriores, atravs da aplicao de
algoritmos descritos em suas vacinas.
Vamos dar um exemplo. A busca string 0A071A20 para detectar um vrus fictcio:
SE este arquivo de extenso COM
E SE ele tem mais de 900 bytes
E SE h uma instruo de salto para 597 bytes antes do final do arquivo
E SE a string 0A071A20 aparece nesta localizao
ENTO abra uma janela de alerta "Vrus XXYYZZ.597 foi encontrado"

Esse mtodo mais eficaz que o primeiro mtodo, porm leva a um cdigo muito maior para as
vacinas e engines, alm de consumir maior tempo para escanear todo o computador.

Checagem de Integridade
Alm dos mtodos de escaneamento existem outras tcnicas possveis, tal como a tcnica de
checagem de integridade. Essa tcnica cria um banco-de-dados, com o registro dos dgitos
verificadores para cada arquivo existente no disco, que salvo no disco para comparaes
posteriores.
Mais tarde, quando executada novamente esta checagem, o banco-de-dados utilizado para conferir
que nenhuma alterao, nem mesmo de um nico byte, seja encontrada. Em se encontrando algum
arquivo que o novo digito verificador no bata com o gravado anteriormente, dado o alarme da
possvel existncia de um arquivo contaminado.
Obviamente o usurio dever aquilatar se o real motivo dessa alterao seja devido a uma atividade
suspeita, ou se foi causada simplesmente por uma nova configurao, efetuada recentemente, e
portanto legtima.

Todos esses mtodos tm bom e maus pontos de vista. Para bloquear qualquer possibilidade de atividade de vrus, os
programas de anti-vrus tm de fazer seu computador at mesmo inconveniente de utilizar.
Mesmo assim voc ainda no ter NUNCA a certeza absoluta da garantia da segurana 100%.
Alm disso os vrus, e seus companheiros trojans e worms, no so a nica explicao das causas de perdas de dados
e/ou programas em seu micro. Assim ESSENCIAL que voc utilize freqentemente - se possvel diariamente - um
bom programa de backup. A nica maneira de voc poder ter seus arquivos de volta, com certeza mesmo.

Vrus mais Atuantes;

1
2
3
4
5
6
7
8
9
10

BugBear
Klez
LovSan
Yaha
SoBig
MiMail
Parite
Sircam
FunLove
Nimda

Nome do Vrus

Vrus do tipo

Origem

Data de Ataque

W32/BugBear.B@mm

POLIMRFICO

desconhecida

qualquer dia

Descrio Resumida:
O W32/BugBear.B pode ser chamado de supervrus, pois realiza mltiplas aes, e se comporta com
diversos tipos de vrus diferentes. Ele um mass-mailer (envia e-mails em massa), um worm de rede
local, um keylogger (que fica gravando os toques do teclado para descobrir senhas e logins), um
trojan tipo back- door ( espera de contato do hacker para repassar informaes coletadas do
sistema), um vrus infectante de arquivos (do tipo Polimrfico, que altera seu cdigo a cad ao), e
um terminador de arquivos de segurana (encerra a execuo de anti-vrus e de firewalls). um
portanto um supervrus, com cdigo viral bastante complexo.
Ele se dissemina primariamente por e-mail, vindo como um anexo de tamanho 72.192 bytes, que
executado atravs de um duplo clique, ou automaticamente nos sistemas que no foram atualizados
para barrar a falha de segurana, conhecida como "Incorrect Mime Header", j definida e corrigida
pela Microsoft em seu Security Bulletin MS01-020, no ano de 2001.

Nome do Vrus

Vrus do tipo

Origem

Data de Ataque

W32/Klez.C

WORM

China

13 dos meses mpares

Descrio Resumida:
W32/Klez.C um worm desenhado para se disseminar atravs de correio eletrnico. As mensagens enviadas podem
ter assuntos diversos enquanto os anexos so gerados com um nome aleatrio. Uma vez que o worm seja executado,
W32/Klez.C cria um arquivo no diretrio Windows.
Adicionalmente, este worm incorpora um vrus polimrfico, denominado W32/Elkern, que busca arquivos executveis
no computador infectado para proceder com sua infeco. Este vrus s funciona corretamente em computadores com
o Windows verso 98 instalado.
O worm faz seus ataques nos dias 13 dos meses mpares (janeiro, maro, maio, julho, setembro e novembro), quando
W32/Klez.C destri todo o contedo das unidades locais e das mapeadas na rede local.

Nome do Vrus

Vrus do tipo

Origem

Data de Ataque

W32/LovSan.worm

WORM

desconhecida

16-31/08; qualquer dia depois

Descrio Resumida:
Um novo vrus, que comeou a atacar em todo o mundo ontem noite (a partir das 15h) est se disseminando com
extrema rapidez, j estando no ataque no Brasil. O W32/Lovsan.worm um arquivo com tamanho de 6.176 bytes que
explora uma novssima vulnerabilidade dos Windows da linha NT (NT, 2000 e XP), descrita no Security Bulletin MS03026 da Microsoft, e denominada DCOM RPC Vulnerability.
Sua ao executada atravs do escaneamento de micros com a porta TCP 135 aberta, ele cria um "shell" remoto na
porta TCP 4444. Ele cria duas chaves no Registro do Windows, que acesam o prprio worm, na forma do arquivo
MSBLAST.EXE que fica gravado na pasta System32.
As chaves so:
HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
"windows auto update" = msblast.exe
HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
A forma mais fcil de reconhecer a presena dessa praga a visualizao de uma janela com o ttulo "Desligamento do
Sistema" informando que o sistema ser desligado em 60 segundos, devido a uma chamada de Procedimento Remoto
(RPC) terminar de forma inesperada.
A presena do arquivo MSBLAST.EXE e as duas chaves dentro de \HKEY_CURRENT_MACHINE \SOFTWARE
\Microsoft \Windows \CurrentVersion \Run que referenciam tal arquivo., tambm denunciam a presena dessa praga.
O worm se espalha atravs da vulnerabilidade citada, escaneando faixas randmicas de IPs pela porta 135. O cdigo
do "exploit" enviado s mquinas-alvo instruindo-as a baixar e executar o arquivo MSBLAST.EXE num sistema
remoto, via TFTP. O worm LoveSan contm um ataque programado de DoS (Denial of Service) contra o site
WindowsUpdate.com, que est programado para ocorrer entre o dia 16 e 31 de agosto, e a partir de setembro em
qualquer dia do ms.
Para remover esta praga baixe a Vacina Especial STINGER

Nome do Vrus

Vrus do tipo

Origem

Data de Ataque

W32/YAHA.E@mm

WORM

desconhecida

qualquer data

Descrio Resumida:
O worm YAHA pertence a uma famlia que possui diferentes mtodos de ataque e disseminao. Esta verso tem
diferentes nomes (principalmente variando a letra utilizada para complementar e identificar a variante) entre as
empresas fabricantes de Anti-Vrus:
o nome Yaha.E usada por Sophos e Trend, o nome Yaha.F usado pela Symantec, assim como pela Panda, embora
ela utilize um nome diferente (Lentin.E). E o nome Yaha.G usado pela NAI.
Alm da confuso com os nomes, h tambm divergncias quanto ao tamanho dos anexos virais, variando entre
29.839 e 29.948 passando por 29.369 bytes na primeira amostra recebida pelo site VRUS ALERTA.
A disseminao deste worm est aumentando continuadamente, muito embora as mensagens recebidas estejam em
Ingls, o que mostra a compulso das pessoas em abrir e/ou executar qualquer bobagem que recebam por e-mail.
O worm Yaha.G (E ou F) se auto-envia para todos os endereos de e-mail que sejam encontrados nas seguintes fontes:
Windows Address Book, ICQ List, Yahoo List e MSN Messenger List.
Alm dessas fontes bvias, ele tambm se envia para todos os endereos de e-mail que encontra nas pginas web
visitadas pelo usurio da mquina contaminada. Ele faz isso procurando por quaisquer arquivos que tenham a extenso
comeando pelas letras HT (HTM e HTML).

Nome do Vrus

Vrus do tipo

Origem

Data de Ataque

W32/Palyh@MM

WORM

desconhecida

qualquer dia at 31/05/2003

Descrio Resumida:
Este ameaa conhecida pelo nome de W32/Palyh, mas tambm por W32.HLLW.Mankx@mm, ele tambm est sendo
chamado de Sobig.B, devido a algumas semelhanas com a atuao do vrus W32/Sobig@MM.
W32/Palyh ou W32.HLLW.Mankx@mm chega por um arquivo executvel anexado a mensagens eletrnicas com uma
variedade de assuntos e textos. Todas as mensagens que contm o vrus chegam com o mesmo remetente:
support@microsoft.com.
As caractersticas das mensagens enviadas so as seguintes:
Campo From: support@microsoft.com
Campo Subject: (qualquer uma das alternativas abaixo)
Approved (Ref: 38446-263), Cool screensaver, Re: Approved (Ref: 3394-65467), Re: Movie, Re: My application, Re: My
details, Screensaver, Your details ou Your password
Corpo da Mensagem:
All information is in the attached file.
Anexo: (qualquer uma das alternativas abaixo)
application.pif, approved.pif, doc_details.pif, movie28.pif, password.pif, ref-394755.pif, screen_doc.pif, screen_temp.pif
ou your_details.pif

Nome do Vrus

Vrus do tipo

Origem

Data de Ataque

W32/Mimail.c

WORM

desconhecida

qualquer dia

Descrio Resumida:
Este worm foi distribudo num esquema de spam (mass mailing), e contm um arquivo de nome
undelivered.hta que cria o arquivo mware.exe que o cdigo viral do Mimail.C. Quando esse arquivo hta
executado aparece a mensagem "Your message will be sent again in 1 hour. If it doesnt arrive - we
will delete it from queue."
O worm Mimail.C se espalha como um arquivo .ZIP - com um tamanho de 12.958 bytes - e executa um
ataque de Negao de Servio e rouba informaes da mquina infectada.
Esta verso, embora tenha muitas similaridades com a verso original do Mimail, no explora as
falhas "Codebase" e "MHTML", j corrigidas pela Microsoft atravs dos documentos MS02-015 e MS03014 respectivamente.
Um resumo das caractersticas desse worm so indicadas abaixo: 1. Contm seu prprio mecanismo de
envio de mensagens (SMTP);
2. Se envia com um arquivo .ZIP anexado s mensagens;
3.
Coleta endereos de e-mail existentes na mquina contaminada;
4. Captura informaes e envia-as
por e-mail para 4 endereos;

Nome do Vrus

Vrus do tipo

Origem

Data de Ataque

W32/Parite

WORM

desconhecida

qualquer dia

Descrio Resumida:
Este um vrus enfector de arquivos, encriptado, e um worm que se espalha por rede local. Ele se anexa a arquivos do
Windows, do tipo PE e SCR, existentes na pasta Windows e seus sub- diretrios, assim como em qualquer
compartilhamento de rede que esteja acessvel.
O vrus Parite cria uma seo PE adicional, usando um header composto de trs caracteres randmicos e seguido pelo
caracter "".
O vrus cria a seguinte chave no Registro do Windows:
HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \PINF
Indicao de Infeco:
- Aumento no tamanho dos arquivos em aproximadamente 177 KB
- Presena da chave no Registro do Windows
Mtodo de Infeco:
O vrus cria um arquivo, compactado pelo UPX, na pasta WINDOWS\TEMP e executa-o. Este arquivo tem um tamanho
de 176.128 bytes, com um nome ranmico e uma extenso .TMP. O vrus busca em todos os compartilhamentos das

redes locais e infecta todos os arquivos com extenso .EXE (PE) e .SCR aos quais ele consiga permisso de escrita.

Nome do Vrus

Vrus do tipo

Origem

Data de Ataque

W32/SirCam

WORM

Mxico

qualquer dia

Descrio Resumida:
O worm W32.Sircam.A, que se espalha por e-mail e tambm pelos compartilhamentos abertos das redes locais. Com
um motor prprio para envio de e-mail, a principal caracterstica do Sircam sua rpida propagao, tanto inicialmente
atravs da rede mundial, quanto em seguida,pela rede local das empresas contaminadas.
O worm chega num e-mail cujo assunto pode variar, mas traz uma breve mensagem, em ingls ou em espanhol, que
diz ao destinatrio algo como o seguinte: Ol, como vai? Envio-lhe este arquivo para obter seu conselho. Ou, ento,
Espero que voc possa me ajudar com este arquivo. Ou, ainda, Este o arquivo com a informao que voc pediu.
O arquivo anexo, composto por dois arquivos diferentes: um o arquivo original, em geral DOC, XLS ou ZIP, o outro
SirC32.exe, o prprio vrus. Se executado, ele faz uma cpia de si mesmo no diretrio de sistema com o nome
Scam32.exe e armazena o arquivo original na lixeira.
O worm contm recursos de SMTP prprios, que so usados para enviar e-mails a todos os endereos existentes na
lista de contatos do Windows.
A Symantec descreve ainda um comportamento destrutivo do invasor que ainda no foi confirmado por seus
concorrentes. Segundo a empresa, h uma probabilidade de 5% do vrus apagar todo o contedo do drive C (incluindo
diretrios e arquivos) na dia 16 de outubro de qualquer ano. Isso s acontece em mquinas cujas datas no Windows
estejam configuradas para o padro d/m/a - tal como ocorre no pas de origem, o Mxico, quanto no Brasil.

Nome do Vrus

Vrus do tipo

Origem

Data de Ataque

W32/FunLove.4099

WORM

desconhecida

qualquer dia

Descrio Resumida:
O W32.FunLove.4099 um vrus que se replica atravs de rede local em sistemas Windows 95/98/ME e Windows
NT/2000. Esse vrus infecta aplicativos com extenses EXE, SCR ou OCX. O que notvel nesse vrus que ele usa
uma nova estratgia para atacar o sistema de segurana de arquivos do Windows NT e executado como um servio
nos sistemas Windows NT.
Os aplicativos infectados pelo W32.FunLove.4099 inserem o arquivo flcss.exe no diretrio de Sistema do Windows
durante a execuo dos sistemas Windows NT e Windows 95/98. Uma outra caracterstica especial desse vrus, que
ele no infecta arquivos cujos nomes iniciam com os seguintes caracteres: aler / amon / avp / avp3 / avpm / f-pr /
navw / scan / smss / ddhe / dpla / mpla
Esses so nomes de programas antivrus e de alguns outros aplicativos.
Como saber se o micro est contaminado:
verifique a existncia do arquivo FLCSS.EXE na pasta de Sistema do Windows.

Nome do Vrus

Vrus do tipo

Origem

Data de Ataque

NIMDA

WORM

desconhecida

qualquer dia

Descrio Resumida:
Esse worm tem um ataque muito rpido. No est, ainda, claro se ele se utiliza do programa de e-mail MS Outlook, ou
do Outlook Express para se disseminar, mas com certeza a contaminao numa rede local se inicia pelo recebimento de
um e-mail, que vem com um anexo.
Em geral, mas no sempre, esse anexo vem embutido como uma chamada para um arquivo de som (atravs da
definio do arquivo como audio/x-wav, que contm um arquivo executvel, tambm em geral com o nome de
README.EXE). Nesses casos no necessrio nem mesmo uma ao do destinatrio, pois esse tipo de arquivo de som
executado automaticamente dentro do Outlook e do Outlook Express.
Ateno: no executado nenhum som ou msica, na verdade o arquivo o cdigo, do vrus, puro.
Deve-se notar que embora os e-mails contaminados cheguem com diversos SUBJECTs (campo ASSUNTO) sendo que na
maioria das vezes esse campo pode vir em branco ou com um trecho retirado de uma chave do REGISTRO do
Windows, em geral no fazendo nenhum sentido para quem leia tal informao, o corpo dos e- mails vm aparentemente - em branco, isto , no se v nenhuma linha de texto no corpo do e-mail, e em geral o anexo vem
com um cone de um documento HTML do Internet Explorer.
partir da ele executa a segunda parte, referente reproduo pela rede local e pela Internet.